**Política de Grupo.** Es un servicio con el que casi todos los administradores de Windows están familiarizados. Pero, ¿qué es la Política de Grupo? La Política de Grupo es una forma común de aplicar configuraciones, instalar software, ejecutar scripts y más en miles de computadoras unidas al dominio de Active Directory (AD).
Amplía la funcionalidad de la Política de Grupo y simplifica la gestión de políticas de contraseña detalladas. Dirige cualquier nivel de GPO, grupo, usuario o computadora con configuraciones de diccionario y frases de contraseña con Specops Password Policy. Pruébalo gratis!
La política de grupo consta de muchos servicios y flujos de trabajo diferentes. ¡La mayoría de los administradores probablemente ni siquiera saben cómo funciona bajo el capó! En este artículo, buscamos cambiar eso.
Si estás interesado en saber qué es la Política de Grupo y cómo funciona, mantente atento porque vamos a dejar ninguna piedra sin remover.
**¿Qué son los Objetos de Política de Grupo (GPO)?**
Los GPO son el meollo de la Política de Grupo. Son políticas individuales que contienen diferentes configuraciones para realizar en una computadora unida al dominio.
En Windows 10/2019 Server hay más de cinco mil configuraciones que cubren todos los aspectos relevantes de Windows. Además, puedes importar aún más para aplicaciones específicas: Office, Microsoft Edge, Google Chrome, LAPS-E son solo algunas. También puedes crear las tuyas propias.
Imagina un GPO simplemente como una política única; es un manifiesto que contiene instrucciones para realizar tareas como configurar un script de inicio de sesión, cambiar el escritorio de un usuario, instalar software y miles de otras tareas.
Active Directory almacena GPO en la base de datos de Active Directory que se replican entre controladores de dominio (DC).
Los GPO tienen dos “categorías” de configuraciones; una para una computadora y otra para un usuario. Estas “categorías” definen cómo se aplicarán las configuraciones dentro del GPO a la computadora. Por ejemplo, si necesitas cambiar el fondo de un usuario, eso serían configuraciones de usuario. Si necesitas instalar un software para todo el sistema, eso sería una configuración de computadora.
Una vez que creas un GPO, luego diriges ese GPO a un conjunto de computadoras o usuarios dentro de una OU. La computadora luego busca periódicamente nuevos GPO y aplica esas configuraciones (más sobre esto más adelante).
¿Qué son las Plantillas de Directivas de Grupo
Si un GPO es el componente principal de la Directiva de Grupo, la Plantilla de Directiva de Grupo (GPT) es el siguiente concepto importante. El GPT va de la mano con el GPO.
Active Directory almacena las Directivas de Grupo (GPOs) en SYSVOL, que es una carpeta compartida en los controladores de dominio para distribuir archivos. Los GPOs consisten en configuraciones del registro, archivos de seguridad, aplicaciones, scripts e instaladores, accesos directos, archivos XML, archivos gráficos, y más, según el tipo de configuraciones que definas en el GPO correspondiente.
La administración de Directivas de Grupo con el GPMC
Las Directivas de Grupo se controlan a través de la Consola de Administración de Directivas de Grupo (GPMC). Esta consola se instala en todos los controladores de dominio y como parte del Kit de Herramientas de Administración del Servidor Remoto (RSAT). El GPMC se conecta al controlador de dominio que tiene el rol de Emulador del Controlador de Dominio Principal (PDCe) para realizar cambios en las Directivas de Grupo.
En el GPMC es donde puedes crear y asignar Objetos de Directiva de Grupo (GPOs) a unidades organizativas (UOs) de Active Directory, sitios de Active Directory, y más.
Cómo Funciona la Replicación de Directivas de Grupo
Como se mencionó anteriormente, las GPO y las GPT forman parte de AD. Como tal, forman parte del proceso típico de replicación de Active Directory.
A specific workflow kicks off when you create/update a new GPO and target it to an Active Directory OU.
- Una vez que se cambia una GPO a través de GPMC, GPMC se conecta al controlador de dominio PDCe.
- Entonces, GPMC crea o modifica la GPO dentro de las bases de datos de Active Directory y crea/actualiza el GPT en SYSVOL.
- Una vez modificado, la replicación de AD se encarga de replicar tanto la GPO como el GPT al resto de los controladores de dominio de acuerdo con el programa de replicación de AD. La replicación generalmente tarda hasta 5 minutos si tu controlador de dominio “local” y el PDCe están en el mismo sitio, o más tiempo si están en sitios diferentes.
Los controladores de dominio también replican los GPT en SYSVOL una vez creados con GPMC, pero lo hacen a través de un mecanismo de replicación separado llamado DFS-R. El programa de replicación de SYSVOL es el mismo que el programa de replicación de la base de datos de AD. Ambos componentes de una GP deben llegar aproximadamente al mismo tiempo en tu controlador de dominio local.
Cómo se aplican las GPO
Entonces, GPMC ha creado la GPO/GPT y se han replicado en todos los controladores de dominio de tu entorno de AD. ¿Y ahora qué? Ahora, los clientes deben revisar el DC en busca de políticas nuevas/modificadas.
Los clientes se adhieren a su intervalo de actualización de directivas de grupo definido Intervalo de actualización de directivas de grupo. Este es el intervalo en el cual verifican rutinariamente los cambios con su DC. Por defecto, el intervalo de actualización está configurado en 90 minutos, más un desplazamiento aleatorio entre 0 y 30 minutos.
Si se dirige una directiva a un DC, el intervalo de actualización predeterminado es solo de cinco minutos.
Una vez que ha transcurrido el intervalo de actualización, el servicio Cliente de Directivas de Grupo en el cliente verificará con el DC si hay directivas nuevas o modificadas. Si se encuentran, se descargarán estas directivas y se comenzarán a ejecutar las instrucciones en la computadora cliente.
El servicio Cliente de Directivas de Grupo puede no aplicar nuevas configuraciones de inmediato. Algunas configuraciones no se pueden aplicar de inmediato, como en el próximo inicio de sesión, carpetas redirigidas, después del próximo reinicio, etc.
Existen directivas de grupo que se aplican incluso si no hay cambios desde la última vez que se aplicaron. Un buen ejemplo son las configuraciones de seguridad, que se vuelven a aplicar en el inicio de la computadora y cada 16 horas si la computadora no se ha reiniciado en ese tiempo. Esto es importante: si alguien ha realizado cambios en una configuración de seguridad específica, se restaurarán en la próxima actualización (piense en los puertos de firewall abiertos en el firewall de Windows o en los miembros agregados/eliminados de Grupos Restringidos en la computadora local).
Otros ajustes pueden configurarse para aplicarse nuevamente incluso si el GP no ha cambiado. Puede controlar el comportamiento del Cliente GP para un tipo particular de configuración a través del registro, o, como habrás adivinado, a través de GP.
Imponga requisitos de cumplimiento, bloquee más de 3 mil millones de contraseñas comprometidas y ayude a los usuarios a crear contraseñas más fuertes en Active Directory con retroalimentación dinámica para los usuarios finales. ¡Contáctenos hoy acerca de la Política de Contraseñas de Specops!
Conclusión
Si alguna vez te has preguntado, “¿Qué es Group Policy?”, espero que este tutorial haya podido responder esa pregunta. Group Policy es un sistema que ha estado presente durante mucho tiempo y todavía es utilizado hoy por miles de organizaciones. Es un elemento básico para muchos que necesitan aplicar cambios en su entorno informático con Windows.
Si necesitas realizar un cambio en uno, diez o 1,000 equipos unidos al dominio, asegúrate de saber qué es Group Policy.